国内杀毒软件日益暴露出重大技术缺陷

当计算机出现异常，人们首先想到的是用杀毒软件。令人担忧的是，在杀毒软件作为最主要的反病毒工具被广泛使用的今天，病毒造成的损失不是每年减少，反而每年增加。著名反病毒专家、“国家八六三计划反计算机入侵和防病毒研究中心”专家委员会委员刘旭最近提出杀毒软件作为病毒防范的最主要工具，已经明显暴露出重大缺陷———对新病毒的防范始终滞后于病毒出现。我国反病毒领域应尽快研制主动防御型产品，以适应网络时代信息安全防护新的要求。

在深刻反思国际国内反病毒实践和当前网络新病毒日益泛滥的现状后，刘旭认为，在过去病毒传播速度不快、新病毒数量和种类较少、感染多为区域性、利益危害相对较小的情况下，杀毒软件因其对厂商已捕获的病毒具有良好的识别效果、可有效清除和阻止病毒进一步传播与破坏的优点，被政府、企业和个人作为最主要的反病毒工具，为病毒防范作出了重要贡献。但是，伴随网络在全球的飞速应用，利用网络技术、以网络为载体频频暴发的间谍程序、蠕虫病毒、游戏木马、邮件病毒、QQ病毒、MSN病毒、黑客程序等网络新病毒，已经颠覆了传统的病毒概念。与传统病毒相比，网络病毒呈现传播速度空前、数量与种类剧增、全球性暴发、攻击途径多样化、以利益获取为目的、造成损失具灾难性等突出特点，使杀毒软件面临严峻挑战。

刘旭介绍，杀毒软件以特征值扫描法作为理论基础，其核心是从病毒体中提取病毒特征值构成病毒特征库，杀毒软件将用户计算机中的文件或程序等目标，与病毒特征库中的特征值逐一比对，判断该目标是否被病毒感染。杀毒软件厂商只有发现并捕获到新病毒后，才有可能从病毒体中提取其特征值。这种特征值扫描技术是在新病毒出现后，才以滞后的单个病毒人工捕获、滞后的人工分析、滞后的版本升级为防范机制，要应对每小时数种、数十种网络新病毒的威胁，显然力不从心，难以承担网络病毒防御的重任。杀毒软件不尽快改变始终被病毒牵着鼻子走的现状，将使整个反病毒产业深陷“道高一尺,魔高一丈”的恶性循环。

刘旭直陈，当前杀毒软件厂商依然沿用“亡羊补牢”的事后“补丁”式技术路线，期望通过频繁的版本升级克服其技术的重大缺陷———杀毒软件对新病毒的防范始终滞后于病毒出现。这种滞后杀毒技术固有的重大缺陷,导致用户不能对网络新病毒及时防御，被动地处在一个又一个“时间差”的危险之中。即从一种新病毒出现，到厂商人工捕获病毒，再到分析病毒样本，最后完成杀毒软件升级之前，这一段时间内，用户对该病毒没有防范能力，处在“不设防”状态。

刘旭指出，“病毒主动防御技术”已经成为反病毒软件的发展趋势和全球反病毒厂商新的竞争焦点，并有了一定的探索，但仍没有突破性的飞跃。我国反病毒领域应跳出传统技术路线，尽快研制以行为自动监控、行为自动分析、行为自动诊断为新思路的主动防御型产品，从根本上克服杀毒软件重大缺陷，建立主动防御为主、结合现有反病毒技术的综合防范体系，实现反病毒技术的革命性飞跃和反病毒产业的升级，这也是全球反病毒领域共同面临的巨大挑战，具有极现实的信息安全急迫性。